Os certificados de site da Web seguro «Segurança da Camada de Transporte» (TLS) verificam o proprietário e a integridade da informação dos sites da Web que visita. Este artigo explica como isto funciona.

Que sites da Web utilizam os certificados?

Os sites da Web cujos endereços começam com https utilizam os certificados de servidor. Os sites da Web que utilizam os certificados de servidor TLS verificam duas coisas:

• O administrador do site da Web é o dono ou tem controle do nome do domínio, garantindo que os utilizadores se ligam ao site legítimo e não a uma cópia falsificada ou maliciosa.
• A troca de dados encriptados sobre o TLS entre o navegador e o site está protegida contra a escuta ou por ser adulterada por partes não autorizadas.

Cadeia de confiança

Os navegadores, tal como o Firefox, verificam os certificados por meio de uma hierarquia chamada "cadeia de confiança", que tipicamente consiste de pelo menos três certificados:

• O certificado raiz (âncora de confiança)
• Um ou mais certificados intermediários
• O certificado de servidor TLS (entidade final)

O certificado raiz pertence à «Autoridade de Certificação» (CA) que é confiável pelo navegador para emitir outros certificados. Normalmente, um certificado raiz emite um ou mais certificados intermediários que são utilizados ​​para emitir certificados de servidor TLS para as organizações que podem demonstrar controle sobre os domínios do site da Web especificados por esses certificados.

Os certificados dependem da encriptação da chave pública, na qual um par de teclas assimétricas possui duas chaves matematicamente relacionadas:

• Chave privada: esta chave é mantida secreta pelo seu dono e é utilizada para operações criptográficas, tal como assinar dados (incluindo os certificados) ou desencriptar a informação encriptada com a chave pública
• Chave pública: esta chave é partilhada publicamente e é utilizada para verificar as assinaturas criadas pela chave privada ou para encriptar a informação que só a chave privada pode desencriptar

Os certificados de chave pública contêm a seguinte informação:

• Os detalhes sobre a "Autoridade de Certificação" (CA) que emitiu o certificado

* Uma chave pública pertencente à organização que recebeu o certificado

• Identificar detalhes sobre a organização que possui a chave privada (consulte o conteúdo do "Certificado" em baixo. Para os certificados do servidor TLS, é principalmente o nome de domínio do site da Web)

Agora, nós podemos descrever como o Firefox determina se um site da Web é seguro.

Como é que o Firefox verifica a integridade do certificado?

Isto é como o Firefox utiliza a cadeia de confiança para verificar os certificados de servidor TLS:

1. O Firefox transfere o certificado do site da Web que visitou.
2. O Firefox verifica o certificado na sua base de dados interna da «Autoridade de Certificação» (CAs).
   • Este utiliza a chave pública do certificado CA raiz para garantir que o certificado raiz e os certificados intermediários foram assinados corretamente na cadeia para o certificado de servidor TLS que o site da Web forneceu.
3. O Firefox verifica a informação no certificado para garantir que o site da Web em que está ligado corresponde ao site da Web listado no certificado.
4. Firefox gera uma chave simétrica para encriptar o tráfego HTTP para a ligação.
5. O Firefox encripta a chave simétrica com a chave pública do servidor, que é encontrada no certificado de servidor.
6. A chave privada, que está no servidor da Web, desencripta os dados da ligação necessários para completar o que é conhecido como o "TLS handshake".

Visualização de um certificado

Para ver um certificado, siga estes passos:

1. Clique no ícone Cadeado na barra de endereço.
2. No painel da «Informação do Site» que abre, clique em Ligação segura.

   

3. No painel seguinte, clique em Mais informação.

   

4. Na janela da «Informação da Página» que abre, clique em Ver Certificado

   

O Firefox irá abrir a página de about:certificate para exibir a informação sobre o certificado para o site da Web em que está:

Os três separadores mostram, da esquerda para a direita, o certificado de servidor TLS, o certificado intermediário e o certificado raiz.

Conteúdo do certificado

Os certificados de servidor TLS contêm a seguinte informação:

• Assunto: contém atributos opcionais, tais como o nome do site da Web e outra informação sobre a organização dona do certificado.
• Emissor: identifica a entidade da CA que emitiu o certificado.
• Validade: mostra por quanto tempo o certificado é válido.
• Extensão do nome alternativo do assunto: lista os endereços dos sites da Web para os quais o certificado é válido.
• Informação da chave pública: lista os atributos da chave pública do certificado.
• Número de série: identifica exclusivamente o certificado.
• Algoritmo de assinatura: algoritmo utilizado para criar a "Assinatura".
• Impressões digitais: Hash do ficheiro do certificado em formato binário DER.
• Utilização da chave e Utilização da chave estendida: especifica como as pessoas podem utilizar o certificado, tal como, para a realização da autenticação do servidor da Web TLS).
• Id. da chave do assunto: um identificador gerado a partir da chave pública do certificado TLS como forma de identificar o certificado.
• Id. da chave da autoridade: um identificador gerado a partir da chave pública do certificado TLS como forma de identificar a chave pública correspondente à chave privada utilizada para assinar o certificado.
• CRL Endpoints: as localizações da «Lista de Revogação de Certificados» (CRL) da CA emissora.
• Informação da autoridade: contém o método de validação para a autoridade de certificação e o ficheiro de certificado intermediário.
• Políticas do certificado: contém apontadores para o tipo de certificado TLS que é (exemplo, a informação verificada quando o certificado foi emitido).
• SCTs incorporadas: lista a "Data e Hora do Certificado Assinado" (SCTs).

Certificados problemáticos

Quando visita um site da Web cujo endereço começa com https e quando é detetado um problema com o certificado TLS, o navegador irá exibir uma página de erro. O artigo "O que significam os códigos de aviso de segurança?" descreve os erros comuns de certificado.

Para ver o certificado problemático, siga estes passos:

1. Na página de aviso, clique em Avançado....

   

2. Clique em "Ver Certificado".

   

Agora, será exibido o certificado mau.